Audit des Systèmes

d’Information

Outils logiciels d'audit de sécurité réseaux

Mr. Papa Samour Diop

Email = papasamour.diop@esp.sn
Sommaire
Revue générale des routeurs Cisco
 Contrôler la gestion des configurations

• Les changements de politique sur les

routeurs/firewalls doivent être validés
Contrôler le processus de gestion de
changements :
– Les changement : planifiés, documentés et
approuvés
– politique de gestion des configurations et des
changements est respectée.
– les derniers niveaux de patches sont appliqués.
– Les configurations sont conformes aux dossiers
d’architectures
 Contrôler la gestion des configurations

Contrôler le process de gestion de changements

(suite) :
• scans de vulnérabilités
• Des audits internes
• Des rapports de statut
• Avoir une politique standard de durcissement
des switchs, routeurs et firewalls
Durcissement des routeurs Cisco
 Contrôle d’accès

• Évaluer les procédures de création de comptes sur les équipements réseaux

• Évaluer les procédures de révocation de comptes
• Vérifier l’utilisation de serveurs RADIUS ou TACACS
– tacacs-server host < adresse IP du serveur TACACS >
• Vérifier les comptes individuellement déclarés sur les routeurs :
– username <nom> password 7 < mot de passe crypté >
• S’assurer que les mots sont cryptés dans le fichier de configuration et qu’ils
n’apparaissent pas en clair :
– service password encryption
• Vérifier l’utilisation de protocoles d’administration sécurisés :
– Interdire : Telnet, SNMP v1, v2
• Préférer plutôt :
– Encrypted Kerberized telnet,
– SSH, IPSec
– SNMP v3
 Port console, Logs, NTP, ACLs

• Vérifier le contrôle d’accès au port console :

– line con 0
– login => pour utiliser la password défini
– password 7 xxxxxxxxxxxx
– login local => pour utiliser le password défini par la commande username
– login tacacs pour utiliser les serveurs TACACS+
– aaa authentication login default Si l’authentification AAA est utilisée, cette
commande doit être présente. Si elle est omise, l’accès au port console est
autorisé sans mot de passe.
• Vérifier que les logs sont activés et centralisés sur un système distant
:
– log level 0 (niveau 0 pour crash)
– log level 7 (niveau 7 pour debug)
– logging host < adresse IP du serveur de logs >
– AAA accounting logs AAA
Vérifier l’utilisation du protocole NTP :
– ntp server < adresse IP du serveur de temps > key < clé >
– Si des ACLs sont présentes, vérifier que tout flux non autorisé est rejeté
 Sauvegardes
• Configurations courantes sont régulièrement sauvegardées et
que l’accès aux copies de sauvegarde est contrôlé et sécurisé
• La politique de sauvegarde, et évaluer les procédures de
restauration
• Vérifier que les interfaces inutilisées sont désactivées
sauvegarder tous les core dumps en cas de crash :
– exception protocol ftp
– exception dump < adresse IP du serveur ftp >
– ftp username < nom d’utilisateur ftp >
– ftp password < mot de passe de l’utilisateur ftp >
– L’activation du core dumps augmente le temps de reboot du routeur
• Vérifier que la présence des commandes :
– no ip source-route
– no ip directed-broadcast
 Sécurité du routage dynamique
• vérifier que les mises à jour des tables de routage sont authentifiées :
– RIP :
• router rip
– version 2
– key chain < nom de la clé >
– key 1
– key-string < chaîne de caractères >
– interface ethernet 0
• ip rip authentication key-chain < nom de la clé >
• ip rip authentication mode md5
• OSPF :
– router ospf 10
– area 0 authentication message-digest
– interface ethernet 0
• ip ospf message-digest-key 1 md5 < clé d’authentification >
• BGP :
– router bgp 20
– neighbor < ip_address > ou < peer_group_name > password < mot de passe >
Outils de cartographie réseaux
LANState
NetworkView
LANsurveyor
Outils logiciels d'audit de sécurité
réseaux
 Outils logiciels d’audit
• Un audit de sécurité réseaux se déroule en 3 phases :
– 1. Découverte du réseau, des ports en écoute.
– 2. Découverte des vulnérabilités éventuelles des ports en écoute.
– 3. Exploitation des vulnérabilités.
• 3 phases3 outils de base :
– Nmap pour la découverte du réseau (NmapSi4 GUI)
– Nessus / OpenVAS pour découvrir les vulnérabilités des machines et
des éléments actifs du réseau « découverts par Nmap».
– Metasploit/Meterpreter pour exploiter les vulnérabilités «découvertes
avec Nessus / OpenVAS»
• Auxquels s’ajoutent divers autres outils :
– Outils d’analyse et de corrélation de logs,
– outils de supervision,
– Outils de détection et de prévention d’intrusion (IDS/IPS),
– Analyseurs de codes, Cracker de mots de passe, service web,
 Nmap
• Nmap (Network Mapper) : outil Open Source d'exploration réseau
et d'audit de sécurité.
• Scanner de grands réseaux, fonctionne aussi pour une cible unique.
• Nmap détermine :
– les hôtes actifs sur le réseau,
– les services (y compris le nom de l'application et la version)
– les systèmes d'exploitation (et leurs versions),
– les types de dispositifs de filtrage/pare-feux utilisés,
– ainsi que des douzaines d'autres caractéristiques.
• Nmap est souvent utilisé pour tester la visibilité des services et la
sécurité du réseau.
• Nmap s'utilise en ligne de commande mais il existe des frontend
graphiques comme Zenmap, Nmapfe ou kNmap.
• Nmap dispose en outre d’une version Windows
Nmap
Nmap
Nmap
NetScan Tools Pro
NetScan Tools Pro
Autres scanners de ports
 HPING
• HPING est un assembleur de paquets TCP / IP en ligne de
commande.
• Il supporte les protocoles TCP, UDP, ICMP et RAW-IP. Il a un
mode traceroute, avec la possibilité d'envoyer des fichiers à
travers des canaux cachés, et de nombreuses autres
fonctionnalités.
• Hping sert à :
– Tester les Firewalls
– Scan de port avancé
– Test du réseau en utilisant différent protocoles, TOS, fragmentation
– Traceroute avancé, supportant tous les protocoles
– Audit de la pile TCP/IP
– Un outils intéressant pour apprendre le TCP/IP
HPING
 Portsentry
• Portsentry est un programme conçu pour détecter et
réagir en temps réel aux scans de ports.
• En plus de se contenter de détecter les attaques, il
peut mener les actions suivantes :
– inscription de l'incident dans fichier de log
– l'hôte "attaqueur" est automatiquement rajouté dans
/etc/hosts.deny
– iptables est reconfiguré dynamiquement pour que tout ce
qui vient de l'hôte "attaqueur" soit immédiatement rejeté
– il peut couper automatique la connexion réseau à la
moindre attaque détectée
 Nipper
• Nipper est un analyseur d’équipement réseau. Il analyse les fichiers
de configuration et fourni un rapport comprenant le résultat de l’audit
de la sécurité, les paramètres de configuration et autres informations
pertinentes.
• Nipper supporte actuellement les types d’équipements suivants:
– Routeur Cisco à base d’IOS; Switch Cisco à base d’IOS; Catalyst Cisco à base
d’IOS
– Cisco NMP Catalyst; Cisco Catalyst à base de CatOS
– Cisco PIX Firewall; Cisco ASA Firewall; Cisco FWSM pare-feux
– Switch de service de contenue Cisco
– Juniper Firewall ScreenOS (NetScreen)
– Périphériques Passport Nortel
– CheckPoint Firewall-1
– Sonicwall SonicOS Firewall
• Génère des rapports sous les formats: HTML, TEXT, XML, Latex
 Nipper

• L'audit réalisé par Nipper comprend des détails sur les résultats,
avec des recommandations détaillées. L'audit de la sécurité peut
être modifiée en utilisant les paramètres de ligne de commande ou
un fichier de configuration externe.
• L’audit du filtrage réseau inclus les éléments suivants
– Liste de règle se terminent par un Deny All et la journalisation
– Règles permettant un accès à partir de toute source
– Règles permettant l'accès depuis n'importe quel port source
– Règles permettant d'accéder à n'importe quelle destination
– Règles permettant l'accès à tout service de destination Règles qui ne
journalisent pas
– Règles qui sont désactivés
– Règles qui rejettent
– Pas de règles de contournement
– Les règles par défaut
Nipper
 Nessus & OpenVAS

• Nessus outil de découverte de vulnérabilités.

• Nessus est un scanner de vulnérabilité multiplateforme.
• Opensource à l’origine, Nessus est devenu propriétaire, à partir
de la version 3, et ne peut être utilisé sans licence que dans le
cadre d’une utilisation personnelle
• OpenVAS étant un fork de Nessus v2 permettant d’éviter
l’utilisation de la version propriétaire Nessus v3.
• Nessus & OpenVAS automatisent un scan puis une recherche de
vulnérabilités sur un système d’information afin de générer un
rapport des vulnérabilités.
• Ils se basent sur des bases de données des vulnérabilité
connues, mises à jour quotidiennement.
• Ces outils permettent de donner une idée des éventuelles
failles de sécurité.
 Retina
• Retina est un scanner de vulnérabilité très
performant.
• Permet en plus d’évaluer automatiquement le
degré de criticité de chaque faille détectée.
• Il peut scanner les différents types de machines
se trouvant sur le réseau cible ( équipements
réseau, base de données, OS, etc)
 Nsauditor
• Nsauditor est un scanner de réseau et de
vulnérabilité qui permet d'auditer et de surveiller
un réseau d'ordinateurs pour d'éventuelles failles,
• vérifie toutes les méthode potentielles qu'un
pirate pourra utiliser,
• génère un rapport sur les problèmes potentiels
identifiés.
• Nsauditor inclue 45 outils réseau et utilitaires
d'audit, de scan, et de supervision de connections
 Metasploit Framework
• Le Metasploit Framework est un outil de développement et
d’exécution .
• Permet de savoir les vulnérabilités qui présentent des risques
Metasploit fonctionne ainsi :
– Choisir et configurer un exploit :
• Exploit = code permettant de pénétrer un système cible en profitant de l’un de ses
bogues
• environs 600 exploits sont disponibles pour les systèmes Windows, Unix/Linux et
Mac OS X;
– Vérifier si le système cible est sensible à l’exploit choisi
– Choisir et configurer un payload :
• Payload = code qui s’exécutera après s’être introduit dans l’hôte cible,
• environ 200 payloads
– Choisir la technique d’encodage du payload de sorte que les systèmes de
préventions IDS ne le détectent pas
– Exécuter l’exploit.
 Nikto
• Nikto est un scanner de vulnérabilités pour
serveurs web.
• Nikto, Open Source (GPL), permet de détecter
différentes failles telles :
– les XSS,
– l’utilisation d’une version trop ancienne du serveur Web,
– listing des répertoires plus ou moins sensibles, etc
• Capable de détecter plus 6100 failles sur plus de
950 serveurs.
• Son utilisation permet d'avoir de multiples
informations car ses sorties sont très verbeuses
 Tiger
• Tiger est un HIDS i.e. outil de détection d'intrusion fondée sur l'hôte qui :
– implique d’installer le logiciel sur le système à auditer
– utilise les fichiers de journaux et/ou les programmes d'audit du système comme
source de données pour détecter :
• les processus suspects,
• les accès malveillants au système,
• les changements survenus sur les fichiers critiques du système.
• Tiger fournit un ensemble de vérifications sur des problèmes liés aux
failles de sécurité :
– il vérifie la force des mots de passe,
– les problèmes liés au système de fichiers,
– les processus de communications
– détecte les éventuelles compromissions du compte root.
– analyse des processus locaux en écoute.
• L'installation par défaut configure Tiger pour être exécuté chaque jour,
générant un compte-rendu contenant les éventuelles alertes du système.
Outils d’audit de mots de passe
 John the Ripper
• John the Ripper permet de décrypter les
hashes de mot de passe récupérés avec
Pwdump ou Fgdump afin d'en découvrir les
mots de passe. Très bon outil d'audit, robuste
et puissant
 Cain & Abel

• Cain & Abel est un outil de récupération de mot de

passe fonctionnant sous Windows. Il permet la
récupération facile de divers genres de mots de
passe en sniffant le réseau, cassant des mots de
passe hachés en utilisant des attaques par
dictionnaire, par recherche exhaustive ou encore
via des tables arc-en-ciel
L0phtCrack
SQLdict
 Outils divers

• ProcNetMonitor : monitorer l’activité réseau de

tous les processus fonctionnant sur un système
Windows.
• ProcNetMonitor affiche tous les ports ouverts
(TCP/UDP) et toutes les connections actives pour
chaque processus.
• DLLHijackAuditKit : trouver des vulnérabilité DLL
d’application Windows.
• JavcaSnoop : intercepter les méthodes, et tester
une application Java
• RIPS, RATS : analyseurs de code statique pour PHP
 Outils divers

• Hexjector : outil d’injection SQL multiplateforme,

recherche de vulnérabilité SQL
• Websecurify : outil multiplateforme d’audit de
service web :
– SQL Injection,
– Cross-site Scripting,
– Cross-site Request Forgery, etc
• THC Hydra : ensemble d’outils de crack de login
compatible avec un grand nombre de protocoles
(Telnet, FTP, HTTP, SMB, MYSQL, SSH, Cisco, etc).
 Outils divers
• PenTBox : package logiciel comportant
– des crackers de passwords,
– un scanner de ports,
– et des outils d’attaque DoS, etc.
• TFTPTheft : ensemble de 2 scripts :
– 1 pour découvrir les serveurs TFTP
– 1 pour télécharger les fichiers qu’ils contiennent.
– Le protocole TFTP ne possédant ni authentification
ni chiffrement, TFTPTheft se base sur une liste de
noms connus de fichiers contenus dans les
équipements réseaux (switchs et routeurs Cisco).